デンマークSecuniaなどは8月16日,Internet Explorer(IE)に見つかった新たなセキュリティ・ホールを公表した。細工が施されたWebページへアクセスすると,実際にアクセスしているサイトとは異なるURLをアドレス・バーに表示させられる。オンライン詐欺「フィッシング」などに悪用可能なセキュリティ・ホールである。パッチなどは公開されていない。対策は,怪しいリンクをクリックしないことや,アクティブスクリプトを無効にすることなど。
セキュリティ・ホールを発見したのは,Liu Die Yu氏。同氏がセキュリティ関連メーリング・リングに投稿した内容を,Secuniaが検証して同社のサイトで公表した。Secuniaでは,すべてのパッチを適用したWindows 2000 SP4およびXP SP1で稼働するIE 6で,今回のセキュリティ・ホールを確認した。また,これら以前のバージョンでも,影響を受けるだろうとしている。ただし,Windows XP SP2に対しては,現在考えられている攻撃手法は使えないという(「影響を受けない」とは明言していない)。
Secuniaによると,今回のセキュリティ・ホールは,IEがアドレス・バーの情報を適切に更新できないことが原因。IEが新しいブラウザ・ウインドウを開いて,そのウインドウ上である一連のアクションを実施すると,アドレス・バーの表示と実際に表示しているページのURLが一致しなくなる。このセキュリティ・ホールを突けば,悪意があるページを有名企業のページに見せかけることができる。
写真はSecuniaが公開するデモ・ページ(写真の拡大表示)。アドレス・バーの表示は「www.yahoo.com」だが,表示されているのはSecuniaのページである。
米Microsoftからはセキュリティ情報やパッチは公開されていない。Secuniaでは,対策としてIEのアクティブスクリプトを無効にすることと,別のブラウザを使うことを挙げている。信頼できないWebサイトやメール中のリンクを安易にクリックしないことも重要である。細工を施したWebページにアクセスしなければ,アドレス・バーを偽装されることはない。 |